Imposição de rede virtual com regras de administração de segurança no Azure Virtual Network Manager
Neste artigo, você aprenderá como as regras de administradores de segurança fornecem uma aplicação flexível e escalável de políticas de segurança em ferramentas como grupos de segurança de rede. Primeiro, você aprende os diferentes modelos de imposição de rede virtual. Em seguida, você aprende as etapas gerais para aplicar a segurança com regras de administração de segurança.
Imposição de rede virtual
Com grupos de segurança de rede (NSGs) sozinhos, a aplicação generalizada em redes virtuais em vários aplicativos, equipes ou até mesmo organizações inteiras pode ser complicada. Muitas vezes, há um equilíbrio entre as tentativas de aplicação centralizada em toda a organização e a entrega do controle granular e flexível às equipes.
As regras de administração de segurança visam eliminar completamente essa escala deslizante entre aplicação e flexibilidade, consolidando os prós de cada um desses modelos e reduzindo os contras de cada um. As equipes de governança central estabelecem guarda-corpos por meio de regras de administração de segurança, enquanto ainda deixam espaço para equipes individuais identificarem a segurança de forma flexível, conforme necessário, por meio das regras NSG. As regras de administração de segurança não se destinam a substituir as regras do NSG. Em vez disso, eles trabalham com regras NSG para fornecer aplicação e flexibilidade em toda a sua organização.
Modelos de aplicação
Vejamos alguns modelos comuns de gerenciamento de segurança sem regras de administração de segurança e seus prós e contras:
Modelo 1 - Gestão da equipa de governação central com os NSGs
Nesse modelo, uma equipe de governança central dentro de uma organização gerencia todos os NSGs.
Prós | Contras |
---|---|
A equipa de governação central pode aplicar regras de segurança importantes. | A sobrecarga operacional é alta, pois os administradores precisam gerenciar cada NSG, à medida que o número de NSGs aumenta, a carga aumenta. |
Modelo 2 - Gestão de equipas individuais com NSGs
Nesse modelo, equipes individuais dentro de uma organização sem uma equipe de governança centralizada gerenciam seus próprios NSGs.
Prós | Contras |
---|---|
A equipa individual tem um controlo flexível na adaptação das regras de segurança com base nos seus requisitos de serviço. | A equipe de governança central não pode impor regras de segurança críticas, como o bloqueio de portas arriscadas. A equipe individual também pode configurar incorretamente ou esquecer de anexar NSGs, levando a exposições de vulnerabilidade. |
Modelo 3 - Os NSGs são criados através da Política do Azure e geridos por equipas individuais.
Neste modelo, as equipas individuais ainda gerem os seus NSGs. A diferença é que os NSGs são criados usando a Política do Azure para definir regras padrão. A alteração destas regras desencadearia notificações de auditoria.
Prós | Contras |
---|---|
A equipa individual tem um controlo flexível na adaptação das regras de segurança. A equipe de governança central pode criar regras de segurança padrão e receber notificações se as regras forem modificadas. |
A equipe de governança central ainda não pode aplicar as regras de segurança padrão, uma vez que os proprietários de NSG nas equipes ainda podem modificá-las. As notificações também seriam difíceis de gerir. |
Aplicação de tráfego de rede e exceções com regras de administração de segurança
Vamos aplicar os conceitos discutidos até agora a um cenário de exemplo. Um administrador de rede da empresa deseja impor uma regra de segurança para bloquear o tráfego SSH de entrada para toda a empresa. A aplicação deste tipo de regra de segurança era difícil sem uma regra de administração de segurança. Se o administrador gerencia todos os NSGs, a sobrecarga de gerenciamento é alta e o administrador não pode responder rapidamente às necessidades das equipes de produto para modificar as regras do NSG. Por outro lado, se as equipes de produto gerenciarem seus próprios NSGs sem regras de administração de segurança, o administrador não poderá impor regras de segurança críticas, deixando potenciais riscos de segurança em aberto. Usar regras de administração de segurança e NSGs pode resolver esse dilema.
Neste caso, o administrador pode criar uma regra de administração de segurança para bloquear o tráfego SSH de entrada para todas as redes virtuais da empresa. O administrador também pode criar uma regra de administração de segurança para permitir o tráfego SSH de entrada para redes virtuais específicas que precisam de uma exceção. A regra de administrador de segurança é aplicada em toda a empresa e o administrador ainda pode permitir exceções para redes virtuais específicas. Isso é feito através do uso da ordem de prioridade para cada regra.
O diagrama mostra como o administrador pode atingir os seguintes objetivos:
- Aplique regras de administração de segurança em toda a organização.
- Permita exceções para a equipe do aplicativo lidar com o tráfego SSH.
Etapa 1: Criar uma instância do gerenciador de rede
O administrador da empresa pode criar um gerenciador de rede com o grupo de gerenciamento raiz da empresa como o escopo dessa instância do gerenciador de rede.
Etapa 2: Criar grupos de rede para redes virtuais
O administrador cria dois grupos de rede – grupo de rede ALL que consiste em todas as redes virtuais da organização e Grupo de rede de aplicativos que consiste em redes virtuais para o aplicativo que precisa de uma exceção. O grupo de rede ALL no diagrama acima consiste em VNet 1 a VNet 5, e o grupo de rede App tem VNet 4 e VNet 5. Os usuários podem facilmente definir ambos os grupos de rede usando a associação dinâmica.
Etapa 3: Criar uma configuração de administrador de segurança
Nesta etapa, duas regras de administração de segurança são definidas com a seguinte configuração de administrador de segurança:
- uma regra de administrador de segurança para bloquear o tráfego SSH de entrada para TODOS os grupos de rede com uma prioridade mais baixa de 100.
- uma regra de administrador de segurança para permitir o tráfego SSH de entrada para o grupo da rede de aplicativos com uma prioridade mais alta de 10.
Etapa 4: Implantar a configuração do administrador de segurança
Após a implantação da configuração de administrador de segurança, todas as redes virtuais da empresa têm a regra de tráfego SSH de entrada negada imposta pela regra de administrador de segurança. Nenhuma equipe individual pode modificar a regra de negação, apenas o administrador da empresa definido pode. As redes virtuais do aplicativo têm uma regra de tráfego SSH de entrada de permissão e uma regra de tráfego SSH de entrada de negação (herdada da regra de grupo de rede Todos). Com um número de prioridade menor na regra de tráfego SSH de entrada permitida para o grupo de rede de aplicativos, a regra é avaliada primeiro. Quando o tráfego SSH de entrada chega a uma rede virtual de aplicativo, a regra de administração de segurança de prioridade mais alta permite o tráfego. Supondo que existam NSGs nas sub-redes das redes virtuais do aplicativo, esse tráfego SSH de entrada é avaliado em seguida com base nos NSGs definidos pela equipe do aplicativo. A metodologia de regras de administração de segurança descrita aqui permite que o administrador da empresa aplique efetivamente as políticas da empresa e crie proteções flexíveis em toda a organização que trabalha com NSGs.
Próximos passos
Saiba como bloquear portas de alto risco com regras de administração de segurança
Consulte as Perguntas frequentes do Azure Virtual Network Manager